Security.NL wenst iedereen een gelukkig nieuwjaar!
rm -rf 2024 en mkdir 2025. Security.NL wenst iedereen traditiegetrouw een gelukkig en veilig nieuwjaar. Het afgelopen jaar liet vooral zien dat als het om security en privacy gaat 'meer van hetzelfde' erg van toepassing is. Kwetsbare en gecompromitteerde systemen als gevolg van standaard wachtwoorden, misbruik van een beveiligingslek in zakelijke file sharing software en cross-site scripting en SQL-Injection die wederom in de Top 3 van gevaarlijkste kwetsbaarheden staan.
In juni claimden criminelen gegevens van 560 miljoen Ticketmaster-klanten te hebben gestolen. Later erkende Ticketmaster dat aanvallers de Snowflake-omgeving hadden gecompromitteerd. Ook bij andere bedrijven kregen aanvallers toegang tot de Snowflake-omgeving, waarin grote hoeveelheden persoonsgegevens bleken te staan. De toegang was mogelijk doordat medewerkers malware hadden gedownload waarmee Snowflake-inloggegevens waren gestolen. De malware zat onder andere in illegale software.
Verder waren datalekken en privacyschendingen aan de orde van de dag. De bekende privacyactivist Max Schrems stelde dat privacytoezichthouder de AVG strenger moeten handhaven, omdat het schenden van de privacywet nauwelijks gevolgen heeft. Schrems merkte zelfs op dat deze cultuur van het niet naleven nu ook op juridische conferenties zichtbaar wordt. Zo stellen advocaten op het podium dat er niets zal gebeuren als de AVG wordt overtreden, liet de privacyactivist weten.
Gegevens worden steeds vaker op grote schaal verzameld. Zo meldde de CCC dat Volkswagen de locatiegegevens van honderdduizenden auto's bewaart en moeten burgers straks twee keer bezwaar maken tegen het gebruik van hun gegevens in het EHDS. Het Amerikaanse zorg-IT-bedrijf Change Healthcare kreeg via een ransomware-aanval met het grootste zorggerelateerde datalek in de geschiedenis van de VS te maken, toen informatie van honderd miljoen mensen werd gestolen. In Nederland meldde politie dat de global address list met Outlook-visitekaartjes van 62.000 agenten was buitgemaakt.
Chatcontrole
Een ander onderwerp dat voor veel reacties zorgde is het plan van de Europese Commissie voor het invoeren van chatcontrole, waarbij chatberichten van burgers gecontroleerd worden. De EU-landen moeten nog een positie innemen. Verschillende stemmingen gingen dit jaar niet door, omdat er onvoldoende voorstemmers waren. Nederland liet weten geen Europese voorstellen te steunen die client-side scanning invoeren en verplichte detectie in de privécommunicatie van alle burgers inhouden. Het kabinet wilde echter niet tegen de voorstellen van EU-voorzitters België en Hongarije stemmen, maar gaf aan zich van stemming te zullen onthouden.De afgelopen maanden verscheen ook het onderwerp online leeftijdsverificatie weer op de politieke agenda. Zo stemde een meerderheid in de Tweede Kamer voor een motie van ChristenUnie en Nieuw Sociaal Contract (NSC) voor het wettelijk borgen van 'privacyvriendelijke en betrouwbare leeftijdsverificatie' voor het bezoeken van gok- en pornografische websites. De Europese Commissie startte een aanbesteding voor 'privacyvriendelijke' online leeftijdsverificatie.
CrowdStrike, NAFIN en Microsoft
De defecte update van securitybedrijf CrowdStrike, die wereldwijd voor problemen zorgde, mag ook niet ontbreken als het gaat om de gebeurtenissen van 2024. Net als de storing in het Defensienetwerk NAFIN. Microsoft kwam ook meerdere keren negatief in het nieuws, onder andere over de omstreden Recall-feature van Windows en een zeer kritisch rapport van het Amerikaanse Cyber Safety Review Board (CSRB), dat de securitycultuur bij het techbedrijf inadequaat is en het mogelijk maakte voor aanvallers om in 2023 e-mail van de Amerikaanse overheid te stelen. Begin dit jaar moest Microsoft melden dat bij een andere aanval wederom e-mails van de Amerikaanse overheid en bedrijven waren gestolen.Welke datalekken zich dit jaar ook zullen voordoen, de beveiligingsincidenten die ongetwijfeld zullen plaatsvinden, het niet opgevolgde beveiligingsadvies of de voorstellen die privacy of security zullen raken, zoals elk jaar zal Security.NL ook in 2025 weer dagelijks met hart en ziel het laatste nieuws over security en privacy brengen.
Moge security.nl ook dit jaar weer getrouw het nieuws delen.
Wat niet mag ontbreken is de opkomende oligarchie in de VS, met big tech als grote speler en ruim baan voor AI.
https://nos.nl/nieuwsuur/artikel/2546618-ongebreidelde-techmacht-in-vs-ongelooflijk-bedreigend-voor-europa
En inderdaad zoals in het artikel, leveranciers van systemen met standaard wachtwoorden moeten worden aangepakt.
Dat we genuanceerd overwogen met het privacy recht om mogen gaan.
( ( o
( _'
) ( {_}
( ) |=|
# ( ' | |
o # o o |@|
( . o _o_._'_ /___\
) o_.__'\~~~~~/ | 2 |
( \~~~~~/ '-.-' | 0 |
) '-.-' | | 2 |
# | _|_ | 5 |
_|_ `"""` |___|
`"""` `"""`
|_| . |) |) \./
| | /-\ | | |
' '' '' ' '
. . _ | |
|\| |- \/\/
' ' ~
\./ _ . |)
| |- /-\ |\
' ~' '' '
Voor iedereen een privacyveilig en PII-geborgd 2025 ,
zo goed en zo kwaad als dit nu nog kan.
#luntrus
Het jaar waarin security.nl via IPv6 bereikbaar gaat worden...?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.